Gli esperti di Zimperium hanno individuato 40 varianti di TrickMo, un malware Android che offre le funzionalità di trojan bancario, infostealer e backdoor. Una delle novità più recente è il furto del PIN usato per lo sblocco dello smartphone, sfruttando una schermata fasulla. Fortunatamente, Google Play Protect rileva e blocca tutte le varianti conosciute.

Meglio usare la biometria

Una nuova variante di TrickMo era stata scoperta da Cleafy all’inizio di settembre. I ricercatori di Zimperium ne hanno individuate 40 in circolazione. Il malware può essere utilizzato per eseguire numerose attività sullo smartphone Android: registrazione dello schermo, esfiltrazione di dati, controllo remoto, intercettazione dei codici OTP e furto delle credenziali.

Queste funzionalità consentono di rubare qualsiasi informazione dal dispositivo e accedere ai conti bancari, mostrando una schermata di login simile a quelle legittima. L’ignara vittima non si accorge della differenza e inserisce credenziali e codice OTP. I cybercriminali usano i dati per l’accesso e svuotano il conto.

Nelle nuove varianti è stata aggiunta un’altra funzionalità. Utilizzando una pagina HTML mostrata a schermo intero viene creata una schermata di sblocco simile a quella di Android. TrickMo può imitare sia la schermata per inserire il PIN che quella per la sequenza (pattern). I cybercriminali possono quindi controllare lo smartphone anche quando è bloccato.

Il malware può anche rubare le credenziali di VPN, servizi di streaming e piattaforme di e-commerce. Il metodo principale usato per la distribuzione è il phishing, quindi è meglio non scaricare file APK tramite link inviati via email, SMS o messaggi.